 |
|
|
|
Курсы по информационной безопасности
|
|
Программы по аудиту информационных систем
 Курс:
"ITG241 Intermediate IT Audit School"
"Школа аудита ИС. Средний уровень"
Ориентирован на: аудиторов информационных систем, внешних аудиторов, финансовых и операционных аудиторов, аудиторов бизнес-приложений; специалистов по контролю качества; руководителей и менеджеров по аудиту; менеджеров и аналитиков по информационной безопасности.
Предварительный уровень подготовки: средний. Необходимо прослушать курс "ITG101 IT Auditing and Controls" либо "ITG111 Making the Transition from IT to IT Audit", или иметь эквивалентные знания и соответствующий практический опыт. Предполагается знание основной терминологии и концепций контроля ИС.
Продолжительность: 4 дня, 32 часа.
Методические материалы: методические материалы учебного центра.
Бонус: в дополнение к материалам курса участники получат стандартное издание справочника "MIS Swiss Army Knife Reference", в котором перечислены сотни ценных ресурсов по информационной безопасности и аудиту ИС.
Программа курса
- Оценка рисков и планирование аудита
- угрозы для ИС, риски и последствия
- определение риска
- оценка рисков ИС
- риски инфраструктуры ИС
- баланс стоимость/риск
- классификация информации
- инструментарий оценки рисков ИС
- Управление соответствием: положения, стандарты и модели
- типы законов
- проблемы соответствия нормативам
- нормативные положения и стандарты в США и международные
- хищение конфиденциальной информации, шифрование и другие важные вопросы регулирования государственного/регионального уровня
- создание и использование моделей ИС, и моделей аудита и безопасности ИС
- применение COBIT ® 4.1, ISO 27001/27002, ITIL, GAO/FISMA и других стандартов в качестве основы для модели аудита ИС
- учет требований по соответствию в плане аудита
- Руководство (governance) ИТ
- риски, служебная ответственность и составляющие руководства ИТ
- комитет по руководству (надзору) ИТ
- руководство информационной безопасностью
- политики, стандарты и процедуры информационной безопасности
- организационная структура/служебные обязанности по ИТ
- разделение обязанностей
- стандарты аудита IIA и ISACA для руководства ИТ
- аутсорсинг ИТ-операций и разработки
- процедуры и контрольные перечни аудита
- Контроль логического доступа
- общие вопросы контроля доступа
- контроль логического доступа
- идентификация, аутентификация и управление учетными записями пользователей
- авторизация и контроль доступа пользователей
- журналы аудита и мониторинг
- администрирование защиты
- контроль доступа для распределенных многоуровневых приложений
- безопасность мобильных устройств и приложений
- процедуры и контрольные перечни аудита
- Демистификация шифрования
- концепции шифрования
- управление ключами шифрования
- цифровые подписи
- инфраструктура открытых ключей и удостоверяющие центры
- приложения шифрования
- определение рамок аудита средств контроля шифрования
- процедуры и контрольные перечни аудита
- Безопасность инфраструктуры сети
- сетевая терминология
- риски безопасности и стратегии защиты сети
- модели протоколов OSI и сетей TCP/IP
- анализ рисков приложений TCP/IP
- управление сетевой адресацией
- межсетевые экраны, демилитаризованные зоны и защита периметра
- системы обнаружения/предотвращения вторжения
- безопасность удаленного доступа и виртуальных частных сетей
- безопасность беспроводных локальных сетей
- процедуры и контрольные перечни аудита
- источники инструментария защиты и аудита сетей
- ПО операционной системы
- типы системного ПО
- ОС серверов и рабочих станций
- виртуализация и гипервизоры
- целостность и риски для системного ПО
- контроль логического доступа в операционных системах
- аудит политик безопасности ОС: параметры ПО
- управление исправлениями ПО
- контроль привилегированных пользователей и программ
- процедуры и контрольные перечни аудита
- источники инструментария защиты и аудита ОС
- Системы управления базами данных (СУБД)
- реляционные базы данных и архитектуры СУБД
- язык структурированных запросов
- словарь данных/главный каталог и другие ключевые точки контроля СУБД
- роли и риски систем и приложений СУБД
- риски управления базами данных
- средства контроля доступа и средства восстановления СУБД
- процедуры и контрольные перечни аудита
- источники инструментария защиты и аудита СУБД
- Управление изменениями и разработкой системы
- модели жизненного цикла разработки системы (System Development Life Cycle, SDLC)
- разработка системы: бизнес-риски
- роль аудита, обеспечение проекта персоналом, и стратегии аудита SDLC
- оценка управления проектом
- проекты сборки систем
- быстрая разработка приложений и вычисления конечных пользователей
- сокращение возможностей для атак: уязвимости и средства защиты Web-приложений
- управление конфигурацией и контроль изменений в распределенной вычислительной среде
- процедуры и контрольные перечни аудита
- источники лучшей практики и инструментария безопасной разработки и тестирования ПО
- Планирование непрерывности бизнеса и восстановления после чрезвычайной ситуации
- планирование непрерывности бизнеса в сравнении с планированием восстановления после чрезвычайной ситуации
- анализ воздействия на бизнес
- приоритеты восстановления приложений
- целевые точки восстановления
- целевое время восстановления
- планы восстановления и методы их тестирования
- альтернативы размещения и телекоммуникаций на время восстановления
- средства контроля перенесенных в другое место обработки и хранения данных
- уроки, извлеченные из событий 11 сентября, урагана "Катрина" и других крупных стихийных бедствий
- процедуры и контрольные перечни аудита
- Осуществление аудита ИС
- стратегии планирования аудита ИС
- инструментальные средства и методики тестирования средств контроля ИС
- источники лучшей практики аудита, контрольных перечней и другие ресурсы по аудиту ИС
|
